Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Шлюз виртуальной сети подключает Azure виртуальную сеть к локальной сети через Azure ExpressRoute. Шлюз служит двумя ключевыми целями: обмен IP-маршрутами между сетями и маршрутизацией сетевого трафика между ними.
В этой статье описываются типы шлюзов, номера SKU шлюза, оценка производительности по номеру SKU и ключевые функции. Он также охватывает ExpressRoute FastPath, который позволяет сетевому трафику из локальной сети обойти шлюз виртуальной сети для повышения производительности.
SKU шлюзов
Во время создания шлюза виртуальной сети нужно указать SKU шлюза, который вы хотите использовать. При выборе более высокого типа SKU для шлюза, шлюзу выделяется больше процессоров и пропускной способности сети. В результате шлюз сможет поддерживать более высокую пропускную способность для виртуальной сети.
Для шлюзов виртуальной сети ExpressRoute можно использовать следующие значения SKU.
- ErGwScale: Дополнительные сведения см. в статье "Масштабируемый шлюз ExpressRoute"
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Шлюз можно обновить до SKU с более высокой пропускной способностью в том же семействе SKU (без поддержки зоны доступности или с поддержкой зоны доступности). Рассмотрим пример.
- Переход от одного SKU вне зоны доступности к другому SKU вне зоны доступности
- Обновление номера SKU с поддержкой одной зоны доступности до номера SKU с поддержкой другой зоны доступности
Для всех других сценариев, включая понижение или переключение между типами зон доступности, необходимо удалить и повторно создать шлюз. Этот процесс вызывает простой.
Подсеть шлюза
Прежде чем создавать шлюз ExpressRoute, необходимо создать подсеть для него. Подсеть шлюза содержит IP-адреса, используемые виртуальными машинами и службами шлюза виртуальной сети.
При создании шлюза виртуальной сети Azure развертывает виртуальные машины шлюза в подсети шлюза и настраивает их с необходимыми параметрами ExpressRoute. Никогда не разворачивайте ничего другого в подсети шлюза. Подсеть шлюза должна быть названа GatewaySubnet, чтобы Azure распознать его и правильно развернуть компоненты шлюза.
Note
Определяемые пользователем маршруты с назначением 0.0.0.0/0 и группами безопасности сети (NSG) в подсети шлюза не поддерживаются. Определяемые пользователем маршруты, содержащие адресное пространство GatewaySubnet, при этом следующий узел не задан или для следующего узла установлено значение NVA (которое отклоняет трафик), не поддерживаются. Шлюзы с такой конфигурацией блокируются и не могут быть созданы. Для правильной работы шлюзов нужен доступ к контроллерам управления. Распространение маршрутов протокола BGP для пограничного шлюза должно быть включено в подсети шлюза, чтобы обеспечить доступность шлюза. Если распространение маршрутов BGP отключено, шлюз не будет работать.
Диагностика, путь к данным и путь управления могут быть затронуты, если определенный пользователем маршрут совпадает с диапазоном подсети шлюза или диапазоном общедоступных IP-адресов шлюза.
Не развертывайте Azure DNS частный резолвер в виртуальной сети, которая имеет шлюз виртуальной сети ExpressRoute с правилами подстановочных знаков, направляющими разрешение всех имен на конкретный DNS-сервер. Эта конфигурация может вызвать проблемы с подключением к управлению.
Размер подсети шлюза
При создании подсети шлюза укажите, сколько IP-адресов он содержит. Виртуальные машины шлюза и службы используют эти IP-адреса. Некоторым конфигурациям требуется больше IP-адресов, чем прочим.
При планировании размера подсети шлюза ознакомьтесь с документацией по конкретной конфигурации. Например, конфигурации сосуществования vpn-шлюза ExpressRoute и VPN требуют более крупных подсетей шлюза, чем большинство других конфигураций. Рекомендуется создать подсеть шлюза, которая может вместить возможные будущие конфигурации.
Recommendations:
- Создайте подсеть шлюза /27 или больше для большинства конфигураций.
- Если вы планируете подключить 16 каналов ExpressRoute к шлюзу, необходимо создать подсеть шлюза /26 или больше.
- Для подсетей шлюза с двойным стеком рекомендуется диапазон IPv6 в диапазоне /64 или больше.
Этот пример использования PowerShell в Azure Resource Manager показывает подсеть шлюза с именем GatewaySubnet. Нотация CIDR указывает /27, которая предоставляет достаточно IP-адресов для большинства конфигураций.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
Группы сетевой безопасности в подсети шлюза не поддерживаются. Связывание группы безопасности сети с этой подсетью может привести к остановке работы шлюза виртуальной сети (VPN и шлюзов ExpressRoute). Дополнительные сведения о группах безопасности сети см. в разделе "Что такое группа безопасности сети"?
Ограничения и производительность шлюза
Поддержка функций по SKU шлюза
В следующей таблице показаны функции, поддерживаемые каждым номером SKU шлюза, и максимальное количество подключений канала ExpressRoute.
| Gateway - код товара | Сосуществование VPN и ExpressRoute | FastPath | Максимальное количество подключений к цепи |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Высокая производительность, ERGw2Az | Yes | No | 8 |
| Ультравысокая производительность, ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Да (минимум 10 единиц масштабирования) | 4 (минимум 1 единица масштабирования) 8 (минимум 2 единицы масштабирования) 16 (минимум 10 единиц масштабирования) |
Note
Максимальное количество каналов ExpressRoute из одной точки пиринга, которые могут быть подключены к одной виртуальной сети, составляет 4 для всех типов шлюзов.
Оценка производительности по номеру SKU шлюза
В следующих таблицах представлен обзор различных типов шлюзов, их соответствующих ограничений и ожидаемых метрик производительности.
Максимальные поддерживаемые ограничения
Эта таблица относится как к Azure Resource Manager, так и к классическим моделям развертывания.
| Gateway - код товара | Мегабит в секунду | Пакеты в секунду | Поддерживаемо число виртуальных машин в виртуальной сети 1 | Ограничение количества потоков | Количество маршрутов, выученных шлюзом |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Высокая производительность, ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ультравысокая производительность, ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (на единицу масштабирования 1–10) | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 2000 за единицу масштабирования | 100 000 за единицу шкалы | 9500 всего на шлюз |
| ErGwScale (на единицу масштабирования 11–40) | 1 000 на единицу масштабирования | 200 000 единиц измерения масштаба | 1 000 на единицу масштабирования | 100 000 за единицу шкалы | 9500 всего на шлюз |
1 "Поддерживаемое число виртуальных машин в виртуальной сети" относится к количеству ресурсов, взаимодействующих через шлюз. Сюда входит следующее:
- Виртуальные машины в виртуальной сети хаба
- Виртуальные машины в виртуальных сетях с пирингом (топология Hub-Spoke)
- Частные конечные узлы
- Сетевые виртуальные устройства (например, шлюз приложений, Azure Firewall)
- Серверные экземпляры служб PaaS, развернутые в виртуальных сетях (например, SQL Managed Instance, App Service Environment, Azure API Management в режиме виртуальной сети)
Значения в таблице оцениваются и зависят от использования ЦП шлюза. Если загрузка ЦП высока и количество поддерживаемых виртуальных машин превышается, шлюз начнет удалять пакеты.
Note
ExpressRoute может упростить до 11 000 маршрутов, охватывающих адресные пространства виртуальной сети, локальные сети и любые соответствующие подключения к пирингу виртуальной сети. Чтобы обеспечить стабильность подключения ExpressRoute, воздерживайтесь от рекламы более 11000 маршрутов в ExpressRoute. Максимальное количество маршрутов, объявленных шлюзом, — 1000 маршрутов.
Important
- Производительность приложения зависит от нескольких факторов, таких как сквозная задержка и количество потоков трафика, которые открывает приложение. Числа в таблице представляют собой верхний предел, которого приложение может теоретически достичь в идеальных условиях. Кроме того, мы выполняем обычное обслуживание узла и ОС на шлюзе виртуальной сети ExpressRoute для обеспечения надежности службы. В течение периода обслуживания снижается пропускная способность уровня управления и пути передачи данных шлюза.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- ExpressRoute поддерживает максимальный размер пакета TCP и UDP размером 1400 байт. Фрагментированные пакеты не поддерживаются шлюзами ExpressRoute. Настройте приложение, чтобы предотвратить фрагментацию IP-адресов. Если требуется поддержка фрагментации IP-адресов, включите функцию ExpressRoute FastPath для обхода шлюза ExpressRoute.
- Azure Route Server может поддерживать до 4000 виртуальных машин. Этот предел включает виртуальные машины в виртуальных сетях с установленным соединением. Для получения дополнительной информации см. раздел ограничения Azure Route Server.
- Значения в таблице выше представляют пределы для каждого SKU шлюза.
Автоматически назначенный общедоступный IP-адрес
Функция общедоступного IP-адреса, назначаемая автоматически, упрощает развертывание шлюза ExpressRoute, позволяя Microsoft управлять необходимым общедоступным IP-адресом от вашего имени. Для PowerShell и интерфейса Command-Line (CLI) больше не требуется создавать или поддерживать отдельный общедоступный IP-ресурс для шлюза.
Если общедоступный IP-адрес включен автоматически, страница обзора шлюза ExpressRoute больше не отображает поле общедоступного IP-адреса. Это означает, что общедоступный IP-адрес шлюза автоматически подготавливается и управляется Microsoft.
Ключевые преимущества:
- Улучшенная безопасность: Управление общедоступным IP-адресом осуществляется компанией Microsoft и не предоставляет вам доступ, снижая риски, связанные с открытыми портами управления.
- Снижение сложности: Больше не требуется обеспечивать или управлять общедоступным IP-ресурсом.
- Streamlined deployment: Azure PowerShell и CLI больше не запрашивают общедоступный IP-адрес во время создания шлюза.
Принцип работы.
При создании шлюза ExpressRoute Microsoft автоматически подготавливает общедоступный IP-адрес в безопасной серверной подписке и управляет им. Этот IP-адрес инкапсулируется в ресурсе шлюза, что позволяет Microsoft применять такие политики, как ограничения скорости данных и повысить удобство аудита. Ранее можно было создать ресурс общедоступного IP-адреса в качестве зонального ресурса, который обеспечил, чтобы все экземпляры шлюза в этой зоне использовали один и тот же общедоступный IP-адрес. Новое поведение заключается в том, что шлюз всегда является избыточным по зонам.
Availability:
Общедоступный IP-адрес, назначенный автоматически, недоступен для Virtual WAN (vWAN).
Подключение из виртуальной сети к виртуальной сети и из виртуальной сети к виртуальной глобальной сети
Note
Если центр виртуальной глобальной сети прошел обновление программного обеспечения, связанное с включением карт маршрутов, известная проблема не позволяет шлюзу виртуальной сети правильно определять маршруты виртуальной глобальной сети. В результате параметр "Разрешить трафик из удаленной сети Виртуальной WAN" в шлюзе виртуальной сети не применяется правильно, и префиксы адресов из узла этой Виртуальной WAN всегда запоминаются шлюзом виртуальной сети независимо от настроенного параметра.
По умолчанию подключение от виртуальной сети к виртуальной сети и от виртуальной сети к виртуальной глобальной сети отключено через схему ExpressRoute для всех SKU шлюза. Чтобы включить это подключение, необходимо настроить шлюз виртуальной сети ExpressRoute, чтобы разрешить этот трафик. Дополнительные сведения см. в руководстве по подключению к виртуальной сети через ExpressRoute. Сведения о включении этого трафика см. в статье "Включение подключения между виртуальными сетями и виртуальной сетью к виртуальной глобальной сети" через ExpressRoute.
FastPath
ExpressRoute FastPath повышает производительность пути к данным между локальной сетью и виртуальной сетью. При включении FastPath отправляет сетевой трафик непосредственно на виртуальные машины в виртуальной сети, обходя шлюз.
Дополнительные сведения о FastPath, включая ограничения и требования, см. в статье о FastPath.
Подключение к частной конечной точке
Шлюз виртуальной сети ExpressRoute упрощает подключение к частным конечным точкам, развернутых в одной виртуальной сети и между одноранговых виртуальных сетей.
Important
- Емкость пропускной способности и уровня управления для подключения к ресурсам частной конечной точки может сократиться наполовину по сравнению с подключением к ресурсам, не являющихся частными конечными точками.
- В течение периода обслуживания могут возникать периодические проблемы с подключением к ресурсам частной конечной точки.
- Во время обновления SKU шлюза могут возникнуть периодические проблемы с подключением к ресурсам частной конечной точки.
- Необходимо убедиться, что локальная конфигурация, включая параметры маршрутизатора и брандмауэра, настроена правильно, чтобы пакеты для транзитов IP-5-кортежей использовали один следующий прыжк (Microsoft маршрутизатор Enterprise Edge), если только не существует события обслуживания. Если локальная конфигурация брандмауэра или маршрутизатора приводит к тому, что один и тот же IP-5-кортеж часто меняет следующий узел маршрута, возникают проблемы с подключением.
- Убедитесь, что политики сети (как минимум, для поддержки UDR) включены в подсетях, где развертываются частные конечные точки.
Подключение к частной конечной точке и запланированные события обслуживания
Подключение к частной конечной точке сохраняет состояние. При установке подключения к частной конечной точке через частный пиринг ExpressRoute инфраструктура шлюза направляет входящие и исходящие подключения через один из своих бэкэнд-экземпляров. Во время событий обслуживания экземпляры бэкенда перезагружаются по очереди, что может вызвать периодические проблемы с подключением.
Чтобы избежать или свести к минимуму проблемы с подключением к частным конечным точкам во время обслуживания, установите значение времени ожидания TCP в диапазоне от 15 до 30 секунд в локальных приложениях. Проверьте и настройте оптимальное значение на основе требований приложения.
REST API (интерфейсы программирования приложений REST) и команды PowerShell (cmdlets)
Технические ресурсы и определенные требования к синтаксису при использовании REST API и командлетов PowerShell для конфигураций шлюза виртуальной сети см. в следующей статье:
| Classic | Менеджер ресурсов (Resource Manager) |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Подключение виртуальной сети к виртуальной сети
По умолчанию подключение между виртуальными сетями включается при связывании нескольких виртуальных сетей с одинаковым каналом ExpressRoute. Мы не рекомендуем использовать канал ExpressRoute для обмена данными между виртуальными сетями. Вместо этого рекомендуется использовать пиринг между виртуальными сетями. Дополнительные сведения о том, почему подключение между виртуальными сетями через ExpressRoute не рекомендуется, см. в разделе О подключении между виртуальными сетями через ExpressRoute.
Ограничения пиринга между виртуальными сетями
Виртуальная сеть с шлюзом ExpressRoute может иметь пиринг между виртуальными сетями до 500 других виртуальных сетей. Виртуальные сети без шлюза ExpressRoute могут иметь более высокие ограничения пиринга.